第 1 章 Identity Service (keystone)简介.
作为云管理员,您可以管理项目、用户和角色。
项目是包含资源集合的组织单元。您可以将用户分配到项目中的角色。角色定义用户可以对给定项目中的资源执行的操作。可以在多个项目中为用户分配角色。
每个 Red Hat OpenStack (RHOSP)部署必须至少包含一个分配给项目中角色的用户。作为云管理员,您可以:
- 添加、更新和删除项目与用户。
- 将用户分配到一个或多个角色,并更改或删除这些分配。
- 相互独立管理项目和用户。
您还可以使用身份服务(keystone)配置用户身份验证,以控制对服务和端点的访问。Identity 服务提供基于令牌的身份验证,并可与 LDAP 和 Active Directory 集成,以便您可以从外部管理用户和身份,并将用户数据与身份服务同步。
1.1. 资源凭据文件
安装 Red Hat OpenStack Platform director 时,会自动生成资源凭证(RC)文件:
# Clear any old environment that may conflict. for key in $( set | awk -F= '/^OS_/ {print $1}' ); do unset "${key}" ; done export OS_CLOUD=undercloud # Add OS_CLOUDNAME to PS1 if [ -z "${CLOUDPROMPT_ENABLED:-}" ]; then export PS1=${PS1:-""} export PS1=\${OS_CLOUD:+"(\$OS_CLOUD)"}\ $PS1 export CLOUDPROMPT_ENABLED=1 fi export PYTHONWARNINGS="ignore:Certificate has no, ignore:A true SSLContext object is not available"
提供 stackrc
文件,将身份验证详情导出到 shell 环境中。这可让您针对本地 Red Hat OpenStack Platform director API 运行命令。
在安装 overcloud 期间生成的 RC 文件的名称是部署的堆栈的名称,使用 'rc' 后缀。如果没有为您的堆栈提供自定义名称,则堆栈被标记为 overcloud
。创建称为 overcloudrc
的 RC 文件:
# Clear any old environment that may conflict. for key in $( set | awk '{FS="="} /^OS_/ {print $1}' ); do unset $key ; done export OS_USERNAME=admin export OS_PROJECT_NAME=admin export OS_USER_DOMAIN_NAME=Default export OS_PROJECT_DOMAIN_NAME=Default export OS_NO_CACHE=True export OS_CLOUDNAME=overcloud export no_proxy=10.0.0.145,192.168.24.27 export PYTHONWARNINGS='ignore:Certificate has no, ignore:A true SSLContext object is not available' export OS_AUTH_TYPE=password export OS_PASSWORD=mpWt4y0Qhc9oTdACisp4wgo7F export OS_AUTH_URL=http://10.0.0.145:5000 export OS_IDENTITY_API_VERSION=3 export OS_COMPUTE_API_VERSION=2.latest export OS_IMAGE_API_VERSION=2 export OS_VOLUME_API_VERSION=3 export OS_REGION_NAME=regionOne # Add OS_CLOUDNAME to PS1 if [ -z "${CLOUDPROMPT_ENABLED:-}" ]; then export PS1=${PS1:-""} export PS1=\${OS_CLOUDNAME:+"(\$OS_CLOUDNAME)"}\ $PS1 export CLOUDPROMPT_ENABLED=1 fi
overcloud RC 文件在文档中被称为 overcloudrc
,无论堆栈的实际名称是什么。提供 overcloudrc
文件,将身份验证详细信息导出到 shell 环境中。这可让您针对 overcloud 集群的 control plane API 运行命令。自动生成的 overcloudrc
文件会在 admin
项目中将您验证为 admin
用户。此身份验证对域管理任务(如创建提供商网络或项目)有价值。